Scribd
Cargar
38 vistas35 páginas

Avowasp Csi23

El documento presenta una introducción a OWASP y su trabajo en proyectos y capacitación relacionados con la seguridad de aplicaciones web. La presentación cubre una descripción de OWASP, sus proyectos clave, conceptos básicos como análisis de vulnerabilidades y pruebas de penetración, y concluye con una demostración práctica usando la aplicación vulnerable Juice Shop.

Cargado por

Christian Agreda Romero
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
38 vistas35 páginas

Avowasp Csi23

El documento presenta una introducción a OWASP y su trabajo en proyectos y capacitación relacionados con la seguridad de aplicaciones web. La presentación cubre una descripción de OWASP, sus proyectos clave, conceptos básicos como análisis de vulnerabilidades y pruebas de penetración, y concluye con una demostración práctica usando la aplicación vulnerable Juice Shop.

Cargado por

Christian Agreda Romero
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

Análisis de

vulnerabilidades web
con OWASP
Gabriela García
Líder OWASP Capítulo Ciudad de México
06 de octubre, 2023

®
OWASP FOUNDATION
Agenda

1. ¿Qué es OWASP?
2. OWASP Projects.
3. Conceptos básicos.
4. Laboratorio.

OWASP FOUNDATION owasp.org 2


1. ¿Qué es?
OWASP
✓ Open Worldwide Application Security Project.
✓ Fundación sin fines de lucro cuyo objetivo es mejorar la
seguridad del software. Arrancó el 1ro de Diciembre, 2001.
✓ ¿Cómo?
❑ Mediante sus proyectos de software de código abierto lidereados
por su comunidad,
❑ sus miembros,
❑ sus Capítulos y eventos locales e internacionales.
✓ Todos los Proyectos, Documentos, Herramientas, Foros Y
Capítulos son gratuitos y abiertos a todo interesado en
fortalecer la seguridad de aplicaciones.

OWASP FOUNDATION owasp.org 3


1. ¿Qué es?
OWASP Capítulos
✓ Los Capítulos locales buscan conformar
comunidad de profesionales de
seguridad informática en todo el mundo.
✓ Dirigidos por líderes locales conforme a
políticas bien establecidas – Política de
los capítulos.
✓ Desarrollan y educan a través de eventos
y reuniones alrededor del mundo.
✓ Existe alrededor de 300 Capítulos.
✓ En México hay 4: Aguascalientes, Ciudad
de México, Querétaro y Rivera Maya.

OWASP FOUNDATION owasp.org 4


1. ¿Qué es?
OWASP Projects
• Los OWASP projects son proyectos de código abierto y construidos por
miembros de la comunidad de voluntarios.
• Existen proyectos de herramientas (Code Projects) y de documentación
(Documentation Projects).
• Actualmente, ¡el inventario tiene 302 proyectos!
• Para mayor detalle de todos los OWASP projects, visitar
https://owasp.org/projects/

OWASP FOUNDATION owasp.org 5


2. OWASP Projects
OWASP Projects relacionados
Proyectos de herramientas.
✓ Dependency check.
✓ Juice Shop.
Proyectos de documentación.
✓ Web Security Testing Guide (465pp) – Enlace.
Guía de cómo aplicar la Metodología de Revisión de OWASP. Basado en el
enfoque de caja negra. Lista de pruebas de seguridad – método de
http://www.quickmeme.com/

evaluación de la seguridad mediante la validación y verificación


metodológica de los controles de seguridad. Incluye reporte de hallazgos.
✓ Application Security Verification Standard (74 pp). – Enlace.
Marco de requisitos y controles de seguridad requeridos al diseñar,
desarrollar y probar aplicaciones web y servicios web modernos. Define
tres niveles de verificación de seguridad. Verificable y revisable.

OWASP FOUNDATION owasp.org 6


2. OWASP Projects
Más OWASP Projects relacionados
✓ Automated Threats to Web Applications (80pp) – Enlace.
Estándar de facto de la industria de detección y mitigación de amenazas automatizadas
web (Escaner de vulnerabilidades).
✓ OWASP Top 10:2021 (aprox. 25pp, 2017) – Enlace.
Lista los 10 principales riesgos de seguridad en aplicaciones web. Abarca las
vulnerabilidades más comunes asociadas a los riesgos, medidas de prevención,
escenarios de ataque de ejemplo, referencias. Principalmente para concientización.
✓ OWASP API Security Top 10:2023 (aprox. 31pp, 2019) – Enlace.
Application Programming Interface (API). Estructura similar al OWASP Top 10. ¿Cómo
saber si el API es vulnerable al riesgo?. Principalmente para concientización.

OWASP FOUNDATION owasp.org 7


2. OWASP Projects
Más OWASP Projects relacionados
✓ OWASP Top 10 Privacy Risks:2021 – Enlace.
Enfocado a riesgos de privacidad en aplicaciones web y sus controles. Provee
información de como implementar privacidad por diseño. ¿Como revisar si la
aplicación web es susceptible al riesgo?
✓ OWASP Top 10 Proactive Controls:2018 (40pp) – Enlace.
Describe el top 10 de controles de seguridad que los desarrolladores deben
incluir al desarrollar. Incluye descripción, mejores practices de implementación
y las vulnerabilidades prevenidas.
✓ Y más.

OWASP FOUNDATION owasp.org 8


2. OWASP Projects
Otros OWASP Projects

https://cdn.acidcow.com/pics/20181231/tired_memes_27.jpg
OWASP FOUNDATION owasp.org 9
5 minutos

®
OWASP FOUNDATION
3. Conceptos básicos
Pan de cada día de OWASP
Vulnerabilidades:
❑En aplicaciones web.
❑En servicios web.

http://www.quickmeme.com/meme/3tspp0
❑En APIs.
❑En dispositivos móviles.
❑En firmware.
❑eeeeetc.

OWASP FOUNDATION owasp.org 11


3. Conceptos básicos
Vulnerabilidad
❖Falla, debilidad, flag (bandera).
❖¿Dónde puede haber vulnerabilidades? En el
diseño de un sistema, en su implementación,
en su operación o en su administración.*
❖¿Qué se puede hacer con ella? Explotarla para
comprometer los objetivos de seguridad del
sistema.*

* Fuente: Web Security Testing Guide v4.2

OWASP FOUNDATION owasp.org 12


3. Conceptos básicos
Análisis de vulnerabilidades
❖ Es la identificación y validación de vulnerabilidades*.
❖ Se emplea para identificar y evaluar los riegos de
seguridad que pudiera haber debido a las
vulnerabilidades identificadas*.
Ejemplos de vulnerabilidades.
❑ Formulario sin captcha.
❑ Manejo inapropiado de errores.
❑ Validación inapropiada de datos de entrada en un
input.
Lista de vulnerabilidades publicadas en OWASP:
https://owasp.org/www-community/vulnerabilities/ * Fuente: Penetration Testing Execution Standard (PTES

OWASP FOUNDATION owasp.org 13


3. Conceptos básicos
¿Cómo hacer un AVW?
Identificación.
❖ Herramientas automatizadas que buscan e identifican
componentes, codificaciones vulnerables conocidas.
❖ De forma manual.
❖ Mediante pruebas de seguridad - Método de evaluación de la
seguridad mediante la validación y verificación
metodológica de los controles de seguridad*.
Validación.
❖ Para reducir las vulnerabilidades identificadas a solo las
válidas.
❖ Verificando que la vulnerabilidad es explotable. * Fuente: OWASP Web Security Testing Guide.

OWASP FOUNDATION owasp.org 14


3. Conceptos básicos
Análisis vs Gestión de vulnerabilidades

✓ Análisis también puede encontrarse


como: evaluación, valoración (Analysis,
https://butterflylabs.com/wp-content/uploads/2019/07/report.jpg

asessment).
✓ La gestión (management) de
vulnerabilidades implica detección,
reporteo, remediación de
vulnerabilidades y mejora continua.*
▪ OWASP Vulnerability Management Guide –
Enlace.

* Fuente: OWASP Vulnerability Management Guide (OVMG) (2020)

OWASP FOUNDATION owasp.org 15


3. Conceptos básicos
Análisis de vuln vs Pentesting
❑ Pruebas de penetración o Pentesting son pruebas
de seguridad donde el evaluador imita ataques
informáticos reales sobre una aplicación, sistema o
red, para identificar formas de atentar contra los
objetivos de seguridad del mismo*.
❑ Se busca explotar vulnerabilidades para
comprometer la aplicación, sus datos o sus
recursos.
❑ El análisis de vulnerabilidades forma parte del
Pentesting.
❑ Existen diversas metodologías de Pentestings.
* Fuente: https://csrc.nist.gov/glossary/term/penetration_testing

OWASP FOUNDATION owasp.org 16


4. Laboratorios
Importante: Contar con NodeJS 20.5 o superior y
Docker Desktop 4.22 o superior, instalados.

®
OWASP FOUNDATION
4. Laboratoris
Juice Shop
✓ Aplicación web intencionalmente vulnerable.
✓ Es lo opuesto a las “mejores prácticas” de seguridad para
los desarrolladores web.
✓ Más de 105 retos, diferentes niveles de dificultad.
✓ Puede usarse como target de herramientas de seguridad,
para CTFs.
✓ Abarca diversos riesgos o tipos de vulnerabilidades*.
✓ Documento detallado en formato PDF (422pp) u online –
Enlace.
OWASP FOUNDATION owasp.org 18
4. Laboratorios
L1: Juice Shop - Instalación
Instalación
con Node.js

OWASP FOUNDATION owasp.org 19


4. Laboratorios
L1: Juice Shop - Instalación
Instalación con Node.js

OWASP FOUNDATION owasp.org 20


4. Laboratorios
L1: Juice Shop - Instalación
Instalación con Node.js

https://github.com/juice-shop/juice-shop/releases/tag/v15.2.1

OWASP FOUNDATION owasp.org 21


4. Laboratorios
L1: OWASP Juice Shop - Instalación

OWASP FOUNDATION owasp.org 22


4. Laboratorios
L1: OWASP Juice Shop - Instalación
Recomendación:
Emplear Chrome
para abrir JS.

OWASP FOUNDATION owasp.org 23


4. Laboratorios
L1: OWASP Juice Shop - Instalación
Instalación con Docker Desktop

OWASP FOUNDATION owasp.org 24


4. Laboratorios
L1: OWASP Juice Shop - Instalación
Instalación con
Docker Desktop

OWASP FOUNDATION owasp.org 25


4. Laboratorios
L1: OWASP Juice Shop - Instalación
Instalación con Docker Desktop

OWASP FOUNDATION owasp.org 26


4. Laboratorios
L1: OWASP Juice Shop - Instalación
Recomendación:
Emplear Chrome
para abrir JS.

OWASP FOUNDATION owasp.org 27


4. Laboratorios
L1: OWASP Juice Shop

Primero, a navegar para conocer el objetivo.


¿Qué herramienta de tu navegador crees que podría ayudarte a
observar más detalladamente la página?
¿Identificas elementos posiblemente vulnerables?

OWASP FOUNDATION owasp.org 28


4. Laboratoris
Dependecy check
➢ Analizador de código abierto cuyo objetivo es detectar
componentes o dependencias que tengan vulnerabilidades
divulgadas públicamente.
➢ ¿Cómo lo hace?
➢ Determina si existe un identificadores único y estándar (CPE)
asociado a cada una de las dependencias encontradas.
➢ Si los encuentra, lista las vulnerabilidades puntuales (CVEs) de dicho
CPE.

OWASP FOUNDATION owasp.org 29


4. Laboratoris
Dependecy check
• Algunos de los analizadores y métodos de análisis que incluye.

• Lista completa disponible en:


https://jeremylong.github.io/DependencyCheck/analyzers/index.html

OWASP FOUNDATION owasp.org 30


4. Laboratoris
L2: Dependency Check
Instalación del Comman Line Interface (CLI) en Windows

• Descargar el zip y descomprimir:


https://owasp.org/www-project-dependency-check/
• Ir al directorio por línea de comando.

OWASP FOUNDATION owasp.org 31


4. Laboratoris
L2: Dependency Check
Ejecución
Importante: Es obligatoria la conexión a internet.
Target: https://github.com/OWASP/Nettacker/
bin>dependency-check.bat -f HTML -f JSON --project “Prueba" --scan
"C:\Users\ruta\al\archivo.zip"

OWASP FOUNDATION owasp.org 32


Bibliografía adicional
Información adicional
• ¿Te interesa proponer un OWASP Project?. https://owasp.org/www-pdf-
archive/PROJECT_LEADER-HANDBOOK_2014.pdf
• Penetration Testing Framwork.
http://www.vulnerabilityassessment.co.uk/Penetration%20Test.html
• Glosario de NIST. https://csrc.nist.gov/glossary
• Engineering Trustworthy Secure Systems.
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-160v1r1.pdf
• Penetrarion Testing Execution Standard. Technical Guides. http://www.pentest-
standard.org/index.php/PTES_Technical_Guidelines
• 2023 CWE Top 25 de Debilidades de software más peligrosas.
https://cwe.mitre.org/top25/archive/2023/2023_top25_list.html

OWASP FOUNDATION owasp.org 33


Agradecimientos

Muchas gracias por su


atención.

¿Alguna pregunta?

OWASP FOUNDATION owasp.org 34


TM

También podría gustarte